Servei de Directori amb LDAP [4]: ​​OpenLDAP (I)

fico

12 minuts

Hola Amics !. Entrem en matèria, i com sempre recomanem llegeixin els tres articles anteriors de la sèrie:

El DNS, DHCP i NTP són els serveis mínims indispensables perquè el nostre senzill directori basat en OpenLDAP natiu, funcioni adequadament en el Debian 6.0 «Squeeze», O al Ubuntu 12.04 LTS «Precise Pangolin».

Xarxa d'exemple:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

A la Primera Part veurem:

  • Instal·lació de l'OpenLDAP (slapd 2.4.23-7.3)
  • Comprovacions després de la instal·lació
  • Índexs a tenir en compte
  • Regles d'al Control d'Accés a les dades
  • Generació de Certificats TLS al Squeeze

mentre que a la Segona Part continuarem amb:

  • Autenticació local d'usuaris
  • Poblar la base de dades
  • Administrar la base de dades mitjançant utilitats de consola
  • Resum fins aquí ...

Instal·lació de l'OpenLDAP (slapd 2.4.23-7.3)

El servidor OpenLDAP s'instal·la mitjançant el paquet bufetada. També hem d'instal·lar el paquet ldap-utils, El qual ens proporciona algunes eines de la banda de el client, així com utilitats pròpies de l'OpenLDAP.

: ~ # Aptitude install slapd ldap-utils

Durant el procés d'instal·lació, el debconf ens preguntarà per la contrasenya de l'administrador o usuari «admin«. També s'instal·len una sèrie de dependències; es crea l'usuari OpenLDAP; es crea la configuració inicial de servidor, així com el directori LDAP.

En les versions anteriors de l'OpenLDAP, la configuració de l'dimoni bufetada es realitzava totalment mitjançant l'arxiu /etc/ldap/slapd.conf. En la versió que estem fent servir i posteriors, la configuració es realitza en el mateix bufetada, Ia tal propòsit se li dedica un DIT «Directory Information Tree»O Arbre d'Informació de l'Directori, per separat.

El mètode de configuració conegut com RTC «Configuració en temps real»Configuració en Temps Real, o com el Mètode cn = config, Ens permet configurar de forma dinàmica a l' bufetada sense que sigui necessari reiniciar el servei.

La base de dades de la configuració consisteix en una col·lecció d'arxius de text en format LDIF «LDAP Data Interchange Format»Format LDAP per a l'Intercanvi de Dades, localitzats a la carpeta /etc/ldap/slapd.d.

Per tenir una idea de l'organització de la carpeta slapd.d, Executem:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: total 8 drwxr-x --- 3 OpenLDAP OpenLDAP 4096 febrer 16 11:08 cn = config -RW ------- 1 OpenLDAP OpenLDAP 407 16 feb 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -RW ------- 1 OpenLDAP OpenLDAP 383 16 feb 11:08 cn = module {0} .ldif drwxr-x --- 2 OpenLDAP OpenLDAP 4096 febrer 16 11:08 cn = schema -RW ------- 1 OpenLDAP OpenLDAP 325 16 feb 11:08 cn = schema.ldif -RW ------- 1 OpenLDAP OpenLDAP 343 16 feb 11:08 olcBackend = {0} hdb.ldif -RW ------- 1 OpenLDAP OpenLDAP 472 16 feb 11:08 olcDatabase = {0} config.ldif -RW ------- 1 OpenLDAP OpenLDAP 586 febrer 16 11:08 olcDatabase = {- 1} frontend.ldif -RW ------- 1 OpenLDAP OpenLDAP 1012 febrer 16 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -RW ------- 1 OpenLDAP OpenLDAP 15474 16 febrer 11:08 cn = {0} core.ldif -RW ------- 1 OpenLDAP OpenLDAP 11308 16 feb 11:08 cn = {1} cosine.ldif -RW ------- 1 OpenLDAP OpenLDAP 6438 febrer 16 11:08 cn = {2} nis.ldif -RW ------- 1 OpenLDAP OpenLDAP 2802 febrer 16 11:08 cn = {3} inetorgperson.ldif

Si observem una mica la sortida anterior, veiem que el Backend utilitzat en Squeeze és la base de dades tipus hdb, La qual és una variant de bdb «Berkeley Database», i que és totalment jeràrquica i suporta el reconegut de sub-arbres. Per conèixer més sobre els possibles backends que suporta OpenLDAP, visiteu http://es.wikipedia.org/wiki/OpenLDAP.

També veiem que s'utilitzen tres bases de dades separades, és a dir, una dedicada a la configuració, una altra a l' frontend, I l'última que és la base de dades hdb en si.

D'altra banda, bufetada s'instal·la per defecte amb els esquemes Nucli, cosinus, nis e inetOrgPerson.

Comprovacions després de la instal·lació

En una terminal executem i llegim amb calma les sortides. Comprovarem, sobretot amb el segon comandament, la configuració deduïda de llistar la carpeta slapd.d.

: ~ # Ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b cn = config | more: ~ # ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetOrgPerson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Explicació de cada sortida:

  • cn = config: Paràmetres globals.
  • cn = module {0}, cn = config: Mòdul carregat de forma dinàmica.
  • cn = schema, cn = config: Conté el codificat dur a el nivell dels esquemes de el sistema.
  • cn = {0} core, cn = schema, cn = config: El codificat dur de l'esquema de l'nucli.
  • cn = {1} cosine, cn = schema, cn = config: L'esquema Cosine.
  • cn = {2} nis, cn = schema, cn = config: L'esquema Nis.
  • cn = {3} inetOrgPerson, cn = schema, cn = config: L'esquema inetOrgPerson.
  • olcBackend = {0} hdb, cn = config: Backend d'emmagatzematge de dades tipus hdb.
  • olcDatabase = {- 1} frontend, cn = config: frontend de la base de dades i paràmetres per defecte per a les altres bases de dades.
  • olcDatabase = {0} config, cn = config: Base de dades de la configuració de l' bufetada (cn = config).
  • olcDatabase = {1} hdb, cn = config: La nostra instància de la base de dades (dc = amics, dc = cu)
: ~ # Ldapsearch -x -LLL -H ldap: /// -b dc = example, dc = com dn
dn: dc = amics, dc = cu dn: cn = admin, dc = amics, dc = cu
  • dc = amics, dc = cu: Base de el DIT Arbre d'Informació de l'Directory
  • cn = admin, dc = amics, dc = cu: Administrador (rootdn) de el DIT declarat durant la instal·lació.

Nota: El sufix base dc = amics, dc = cu, Ho va prendre el debconf durant la instal·lació a partir de l' FQDN de servidor mildap.amics.cu.

Índexs a tenir en compte

El indexat de les entrades es realitza per millorar el rendiment de les recerques sobre el DIT, Amb criteris de filtrat. Els índexs que considerarem són els mínims recomanats d'acord amb els atributs declarats en els esquemes per defecte.

Per modificar dinàmicament els índexs a la base de dades, vam crear un arxiu de text en format LDIF, I posteriorment ho afegim a la base de dades. Creem l'arxiu olcDbIndex.ldif i ho deixem amb el següent contingut:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberuid eq, pres, sub - add: olcDbIndex olcDbIndex: loginShell eq - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex: GivenName, ou pres, eq, sub - add: olcDbIndex olcDbIndex: DisplayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq

Afegim els índexs a la base de dades i comprovem la modificació:

: ~ # Ldapmodify -I EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # Ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberuid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, sub, eq olcDbIndex: cn pres, sub, eq olcDbIndex: sn pres, sub, eq olcDbIndex: GivenName, ou pres, eq, sub olcDbIndex: DisplayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Regles d'al Control d'Accés a les dades

S'anomena Control d'Accés a les regles que s'estableixen perquè els usuaris puguin llegir, modificar, afegir i esborrar dades a la base de dades de l'Directori, mentre que anomenarem Llistes de Control d'Accés o «ACL Access Control List»A les directives que configuren a les regles.

Per conèixer quines ACL es van declarar per defecte durant el procés d'instal·lació de l' bufetada, Executem:

: ~ # Ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # Ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontal)' olcAccess

: ~ # Ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # Ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Cadascun dels comandaments anteriors ens mostraran les ACL que fins ara tenim declarades en el nostre Directori. Específicament, l'últim comando les mostra totes, mentre que els tres primers ens donen les regles de control d'accés als tres DIT involucrats en el nostre bufetada.

Sobre el tema de les ACL i per no fer un article molt més llarg, recomanem la lectura de les pàgines de l'manual man slapd.access.

Per garantir l'accés dels usuaris i administradors a actualitzar el seu entrades de loginShell y gecos, Afegirem la següent ACL:

## Creem l'arxiu olcAccess.ldif i ho deixem amb el següent contingut: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = amics, dc = cu" write by self write by * read

## addicionem l'ACL
: ~ # Ldapmodify -I EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Comprovem els canvis
ldapsearch -Q -LLL -I EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Generació de Certificats TLS a Squeeze

Per tenir una autenticació segura amb el servidor OpenLDAP, hem de fer-la mitjançant una sessió encriptada la qual podem aconseguir-la mitjançant l'ús de l' TLS Transport Layer Security o Capa de Transport Segura.

El servidor OpenLDAP i els seus clients són capaços d'utilitzar el marc TLS per proveir la protecció referent a la integritat i la confidencialitat, així com donar el suport per a una autenticació LDAP segura mitjançant el mecanisme SASL «Simple Authentication and Security Layer« Extern.

Els servidors OpenLDAP moderns perfieren l'ús de */ StartTLS /* O Iniciar una Capa Segura de Transport a l'protocol /LDAPS: ///, El qual està obsolet. Qualsevol dubte, visiteu * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Només cal deixar com s'instal·la per defecte l'arxiu / Etc / default / slapd amb la declaració SLAPD_SERVICES = »ldap: /// ldapi: ///», Amb l'objectiu d'emprar un canal encriptat entre el client i el servidor, i les pròpies aplicacions auxiliars per administrar el OpenLDAP que s'instal·lin localment.

El mètode aquí descrit, basat en els paquets GnuTLS-bin y ssl-cert és vàlid per al Debian 6 «Squeeze» i també per al Ubuntu Server 12.04. Pel Debian 7 «Wheezy» s'empra un altre mètode basat en OpenSSL.

La generació dels certificats en Squeeze es realitza de la següent manera:

1.- Instal·lem els paquets necessaris
: ~ # Aptitude install GnuTLS-bin ssl-cert

2.- Creem la Clau Primària per l'Autoritat de el Certificat
: ~ # Sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Creem una plantilla per definir el CA (Certificate Authority)
: ~ # Nano /etc/ssl/ca.info cn = Amics Cubans ca cert_signing_key

4.- Creem el Certificat CA Self Signed o Auto-Signat per als clients
: ~ # Certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Generem una clau Privada pel Servidor
: ~ # Certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Nota: Substituïu "mildap"Al nom de l'arxiu anterior pel del seu propi servidor. Nomenar el Certificat i la Clau, tant per al servidor com per al servei que la utilitza, ens ajuda a mantenir les coses clares.

6.- Creem l'arxiu /etc/ssl/mildap.info amb el següent contingut:
: ~ # Nano /etc/ssl/mildap.info organization = Amics Cubans cn = mildap.amigos.cu tls_www_server encryption_key signing_key expiration_days = 3650

Nota: En el contingut anterior declarem que el certificat és vàlid per a un període de temps de 10 anys. El paràmetre hem de ajustar-lo a les nostres conveniències.

7.- Creem el Certificat de el Servidor
: ~ # Certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Fins aquí tenim generats els arxius necesarios.Sólo ens resta afegir a l'Directori la ubicació de l'Certificat Acte Signat cacert.pem; la de l'Certificat de el Servidor mildap-cert.pem; i la de la Clau Privada d'el Servidor mildap-key.pem. També hem d'ajustar els permisos i el propietari dels arxius generats.

: ~ # Nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: / etc / ssl / private /mildap-key.pem

8.- afegim: ~ # ldapmodify -I EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Ajustem propietari i permisos
: ~ # Adduser OpenLDAP SSL-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod or /etc/ssl/private/mildap-key.pem

el certificat cacert.pem és el que hem de copiar a cada client. Perquè en el propi servidor s'utilitzi aquest certificat, hem de declarar a l'arxiu /etc/ldap/ldap.conf. Per a això, vam modificar l'arxiu i ho deixem amb el següent contingut:

: ~ # Nano /etc/ldap/ldap.conf
BASE dc = amics, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Finalment i també com a comprovació, reiniciem el servei bufetada i revisem la sortida de l' syslog de servidor, per conèixer si el servei es va reiniciar adequadament utilitzant el certificat recentment declarat.

: ~ # Service slapd restart
: ~ # Tail / var / log / syslog

Si el servei no es reinicia correctament o observem algun error greu en el syslog, No ens descoratgem. Podem intentar reparar el dany o començar de nou. Si decidim començar des de zero la instal·lació de l' bufetada, No cal formatar el nostre servidor.

Per esborrar tot el que fins ara hem fet per una o altra causa, hem de des-instal·lar el paquet bufetada, Ia continuació esborrar la carpeta / Var / lib / ldap. També hem de deixar en la seva versió original a l'arxiu /etc/ldap/ldap.conf.

És estrany que en un primer intent tot funcioni correctament. 🙂

Recordin que en la pròxima entrega veurem:

  • Autenticació local d'usuaris
  • Poblar la base de dades
  • Administrar la base de dades mitjançant utilitats de consola
  • Resum fins aquí ...

Fins aviat, amics !.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Hugo va dir
    fa 10 anys

    Mestre !!!
    ES PAS AMB EL TUTO!
    és Exelente
    tots els likes DEL MÓN PER Un.
    ????

    Respondre a Hugo
    1.    federico va dir
      fa 10 anys

      Moltes Gràcies, Hugo !!!. Espera els propers articles sobre el tema.

      Respondre a federico
  2.   thisnameisfalse va dir
    fa 10 anys

    Hola:

    interessant el teu seríe d'articles.

    m'ha estranyat llegir aquesta afirmació: «Els servidors OpenLDAP moderns perfieren l'ús de StartTLS o Iniciar una Capa Segura de Transport a l'antic protocol TLS / SSL, el qual està obsolet.»

    ¿Afirmes que, en tots els casos fins i tot fora de l'àmbit LDAP, STARTTLS és un mecanisme de protecció superior a TSL / SSL ?.

    Respondre a thisnameisfalse
    1.    federico va dir
      fa 10 anys

      Gràcies per fer comentaris. Observa que em refereixo a l'OpenLDAP. No em va extralimitar. en http://www.openldap.org/faq/data/cache/185.html, Pots llegir el següent:

      Transport Layer Security (TLS) is the standard name for the Secure Socket Layer (SSL). The terms (unless qualified with specific versió numbers) are generally interchangable.

      StartTLS is the name of the standard LDAP operation for initiating TLS / SSL. TLS / SSL is initiated upon successful completion of this LDAP operation. No alternative port is necessary. It is sometimes referred to as the TLS upgrade operation, as it upgrades a normal LDAP connection to one protected by TLS / SSL.

      ldaps: // and LDAPS refers to «LDAP over TLS / SSL» or «LDAP Secured». TLS / SSL is initated upon connection to an alternative port (normally 636). Though the LDAPS port (636) is registered for this faci servir, the particulars of the TLS / SSL initiation mechanism are not Standardized.

      Onze initiated, there is no difference between ldaps: // and StartTLS. They share the same configuration options (excepting ldaps: // requires configuration of a separate listener, see slapd (8) 's -h option) and result in like security services being established.
      Nota:
      1) ldap: // + StartTLS should be directed to a normal LDAP port (normally 389), not the ldaps: // port.
      2) ldaps: // should be directed to an LDAPS port (normally 636), not the LDAP port.

      Respondre a federico
      1.    thisnameisfalse va dir
        fa 10 anys

        Disculpa, però segueixo sense veure clar per què afirmes que: 1) els servidors moderns prefereixen STARTTLS a SSL / TLS; 2) que STARTTLS és modern, enfront de SSL / TLS que és obsolet.

        Porto mig mes barallant-me amb la configuració de diferents clients de correu que accedeixen a el servidor per SSL (usant les llibreries de openssl, com fa la majoria del programari lliure), amb certificats de CA a / etc / ssl / certs / i altres parafernalia. I el que he après és que: 1) STARTTLS únicament xifra l'autenticació de la sessió, i tota la resta l'envia sense xifrar; 2) SSL xifra absolutament tota el contingut de la sessió. Per tant, en cap cas STARTTLS és superior tècnicament a SSL; jo més aviat m'inclinaria a pensar el contrari, ja que el contingut de la teva sessió viatja sense xifrar per la xarxa.

        Una altra cosa diferent és que es recomani STARTTLS per altres motius que jo desconec: per compatibilitat amb MSWindows, perquè la implementació sigui més estable o estigui millor provada ... no ho sé. Per això et pregunto.

        Per la cita de l'manual que m'has adjuntat a la teva resposta, veig que la diferència entre ldap: // i ldaps: // és equivalent a la diferència entre imap: // i imaps: //, o entre smtp: // i SMTPS: //: s'usa un port diferent, s'afegeix alguna entrada addicional al fitxer de configuració, però la resta de paràmetres es mantenen. Però això no indica res sobre preferir STARTTLS o no.

        Una salutació, i perdó per la rèplica. Només intento aprendre una mica més.

        Respondre a thisnameisfalse
        1.    federico va dir
          fa 10 anys

          Mira, és molt rar que en els meus articles faci afirmacions d'aquest calibre sense que estiguin recolzades per alguna publicació seriosa. A la fi de la sèrie vaig a incloure tots els enllaços a documentació que considero seriosa, i que he consultat per escriure el post. Et avançament els següents enllaços:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Oficial http://www.openldap.org/doc/admin24/index.html
          LDAP over SSL / TLS and StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          I a més, vaig consultar la documentació acompanyant que s'instal·la amb cada paquet.

          El tema de la seguretat en general i de les diferències entre StartTLS i TLS / SSL, són molt tècnics i d'una profunditat tal que no em considero amb els coneixements necessaris per donar aquest tipus d'explicacions. Penso que podem seguir conversant via e-mail.

          D'altra banda, en cap lloc afirmo que NO pugui usar-se LDAPS: //. Si ho consideres més segur, doncs endavant !!!.

          Més no puc ajudar-te i agraeixo molt els teus comentaris.

          Respondre a federico
        2.    federico va dir
          fa 10 anys

          Una mica més de claredat pots obtenir -sempre sobre OpenLDAP- a:
          http://www.openldap.org/faq/data/cache/605.html

          The StartTLS extended operation [RFC 2830] is LDAPv3 's standard mechanism for enabling TLS (SSL) data confidentiality protection. The mechanism facis servir an LDAPv3 extended operation to Establish an encrypted SSL / TLS connection within an already established LDAP connection. While the mechanism is designed for use with TLSv1, most implementations will fallback to SSLv3 (and SSLv2) if necessary.

          ldaps: // is a mechanism for establishing an encrypted SSL / TLS connection for LDAP. It requires usi of separate port, commonly 636. Though originally designed for use with LDAPv2 and SSLv2, many implementations support its use with LDAPv3 and TLSv1. Although there is no technical specification for ldaps: // it is widely used.

          ldaps: // is deprecated in favor of Start TLS [RFC2830]. OpenLDAP 2.0 supports both.
          Per tal de reasons de seguretat s'ha de configurar no s'ha acceptat SSLv2.

          Respondre a federico
  3.   freebsddick va dir
    fa 10 anys

    Aquest serà un d'aquells articles en els quals els usuaris no comentessin perquè com només veuen porno en les seves estacions Linux simplement no els interessa .. A propòsit de ldap tinc diversos serveis relacionats dins de la xarxa heterogènia per a l'empresa en la qual treball. Bon article !!

    Respondre a freebsddick
    1.    federico va dir
      fa 10 anys

      Gràcies per comentar !!!. I molt certa la teva afirmació pel que fa als pocs comentaris en molts dels meus articles. No obstant això, rebut correspondència de lectors interessats, o d'altres que descarreguen l'article per a la seva posterior lectura i aplicació.

      Sempre és molt útil tenir retroalimentació mitjançant els comentaris, encara que siguin: el vaig guardar per a una posterior lectura, interessant, o un altre parer.

      Salutacions

      Respondre a federico
  4.   federico va dir
    fa 10 anys

    El Freeke !!! Gràcies per fer comentaris. Vaig rebre el teu comentari per correu però no ho veig encara refresqui la pàgina diverses vegades. Amic, pot provar aquest i els anteriors articles sense problemes a Squeeze o en Ubuntu Server 12.04. En Wheezy els certificats es generen de forma diferent, mitjançant el OpenSSL. Més res. Salutacions germà !!!.

    Respondre a federico
  5.   federico va dir
    fa 10 anys

    @thisnameisfalse: A EL millor escrivà se li va una taca. Gràcies als teus comentaris, crec que el paràgraf en qüestió, ha de quedar de la següent manera:

    Els servidors OpenLDAP moderns perfieren l'ús de StartTLS o Iniciar una Capa Segura de Transport, a el protocol LDAPS: //, el qual està obsolet. Qualsevol dubte, visiteu Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    Salutacions

    Respondre a federico
  6.   jose monjo va dir
    fa 10 anys

    Perfecte, just en aquest moment tinc tasca sobre ldap

    Respondre a jose monjo
  7.   walter va dir
    fa 10 anys

    no es pot ficar tot en un sol arxiu així es pot baixar el tut complet

    Respondre a walter
  8.   ever va dir
    fa 10 anys

    Sóc tècnic en Informàtica amb àmplia experiència en Linux i tot i així em vaig perdre per la meitat de l'article. Després ho vaig a rellegir amb més deteniment. Moltes gràcies pel tuto.
    Encara que és veritat que ens permet comprendre molt més per que se sol triar ActiveDirectory per a aquestes coses. Hi ha un univers de diferència en quan a simplicitat de configuració i implementació.
    Salutacions

    Respondre a ever
  9.   federico va dir
    fa 10 anys

    Gràcies a tots per comentar !!!
    @jose monjo, espero et serveixi d'utilitat
    @walter a la fin de tots els posts, veuré si puc fer un compendi en format html o pdf
    @eVeR a l'inrevés, és més senzill -encara que sembli que no- un OpenLDAP que un Active Directory. espera els propers articles i veuràs.

    Respondre a federico
  10.   Marcelo va dir
    fa 10 anys

    Una consulta, faig pas a pas la instalacion però a l'reiniciar el servei slapd, em tira el següent error>

    Juliol 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Mar 17 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servers / slapd
    Juliol 30 15:27:37 xxxxx slapd [1219]: UNKNOWN attributeDescription «CHANGETYPE» inserted.
    Juliol 30 15:27:37 xxxxx slapd [1219]: UNKNOWN attributeDescription «ADD» inserted.
    Juliol 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty attributeDescription
    Juliol 30 15:27:37 xxxxx slapd [1219]: slapd stopped.
    Juliol 30 15:27:37 xxxxx [1219]: connections_destroy: nothing to destroy.

    Respondre a Marcelo
    1.    x11tete11x va dir
      fa 10 anys

      podis preguntar al fòrum 😀 http://foro.desdelinux.net/

      Respondre a x11tete11x
  11.   pedrop va dir
    fa 9 anys

    Per a tot el que vegi aquest excel·lent i ben explicat post i li passi aquest problema a l'hora de crear les ACLs:
    ldapmodify: invalid format (line 5) entry: «olcDatabase = {1} hdb, dc = config»

    Després de rajarme el cap buscant a internet, resulta que ldapmodify és el tipus m'es exacte que hi ha sobre la faç de la web. És histèric amb els caràcters fora de lloc així com els espais a al final (trailing space). Sense més dilació, el consell és escriure la condició by XNUMX a la banda de l'altra o sigui by X write by self write by * read. Si encara no funciona instal·lar el Notepad ++> Vista> Mostra símbol i per fi mort als caràcters invisibles. Espero que a algú li serveixi d'ajuda.

    Respondre a pedrop
  12.   pedrop va dir
    fa 9 anys

    Generar els certificats per a Debian Wheezy basat en OpenSSL això pot servir:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/

    Respondre a pedrop